La série Pulse Secure de serveurs VPN (réseau personnel virtuel) est la dernière cible d’une série de hacks qui ont eu un impact sur de nombreuses organisations à travers le monde, dont un certain nombre dans les secteurs de la défense et du gouvernement aux États-Unis et Europe.
Les VPN Pulse sont commercialisés en tant qu’appliance installée par les entreprises qui permettent un accès protégé aux réseaux internes depuis l’extérieur du LAN, normalement pour les travailleurs distants, et pour fournir une connexion intersite. Ils sont également publiés en tant que fabricants virtuels et peuvent gérer (à leur meilleure spécification) jusqu’à 25 000 connexions par appareil.
Les clients se connectant aux serveurs VPN utilisent généralement un client léger (qui fonctionne de manière relativement silencieuse dans l’arrière-plan sur de nombreux appareils, à partir des appareils intelligents). Les attaques les plus récentes révélées par les professionnels de la sécurité Mandian consistent en un minimum d’un exploit zero-day, suggérant que les techniques utilisées n’étaient pas identifiées pour les groupes Pulse Secure.
Cette occasion comporte des éléments intéressants qui ne le sont pas. directement mis en contact avec les violations mais servent à mettre en évidence plusieurs points d’intérêt.
Le premier problème est lié à la nature propriétaire du code Pulse Secure. Ivanti (les propriétaires de la plate-forme) et Solarwinds ont été victimes d’attaques très médiatisées au cours des deux dernières semaines, et lors des deux célébrations, de nombreux professionnels de la cybersécurité remettent en question les décisions prises pour déployer des protections non open source.
C’est un terrain bien rodé pour beaucoup de produits sur le marché, et il convient de répéter que ni les blobs propriétaires ni le code librement distribué ne sont fondamentalement sécurisés les uns par rapport aux autres. Les différences essentielles sont que lorsque les cyberdéfenses open source sont couvertes, chaque utilisateur bénéficie d’une bien meilleure défense. Cependant, la disponibilité des correctifs ne suggère pas nécessairement qu’ils soient utilisés dans des paramètres propriétaires ou open-source – l’attaque du ransomware 2019 contre Travelex (également via les gadgets Pulse Secure) s’est produite à cause de systèmes non corrigés et de répétitions d’historique.
La deuxième préoccupation est l’un des attributs indiqués des auteurs. Dans le billet de blog de Mandiant préoccupant les violations, les chercheurs ont mentionné qu’il existe « une preuve minimale pour recommander que l’UNC2630 [la classification proposée à un groupe attaquant] fonctionne au nom du gouvernement chinois. L’analyse est toujours continue pour déterminer la portée complète de l’activité qui peut être liée au groupe […] un tiers de confiance a en fait découvert des preuves reliant cette activité à des projets historiques que Mandiant considère comme l’acteur d’espionnage chinois APT5. «
Si vous utilisent à la fois Sonic Wall et Pulse protected … pic.twitter.com/DyBUnIiy0y
– (@rootsecdev) 20 avril 2021
Bien que « preuve restreinte « pourrait suffire à blâmer les pirates informatiques parrainés par l’État, il est intéressant de garder à l’esprit qu’il est rare d’entendre parler de piratage parrainé par l’État qui fonctionne selon l’autre méthode: les gouvernements américains ou européens s’efforcent de briser les cyberdéfenses des organisations de défense chinoises. Le silence radio ne peut sûrement pas être parce qu’il ne se produit pas – se pourrait-il que nous n’en ayons jamais pris conscience?
La simple présomption, par conséquent, des lecteurs des rapports de sécurité et des événements les reportages sont relativement faciles: il y a des «goodies» et des «baddies», et dans ce cas, ce sont les «baddies» qui n’ont pas été excellents. Les « goodies » ne s’engagent tout simplement pas dans le piratage, nous en déduisons, et sont des victimes douces et innocentes dans tout cela.
Malgré qui les criminels auraient pu être, l’utilisation de correctifs de sécurité doit rester constamment une préoccupation pour les équipes de cybersécurité. Mais même si les organisations concernées avaient eu les ressources et le personnel nécessaires pour entreprendre ce travail de niveau de maintenance en temps opportun, il n’y a, par définition, pas de défense contre les attaques zero-day. On peut se demander si une alternative open-source basée sur Wireguard ou OpenVPN aurait subi un sort comparable est discutable.
Toute l’actualité en temps réel, est sur L’Entrepreneur
